[IT돋보기] "서비스형 랜섬웨어 '다크사이드' 활개…전세계 감염 '골머리'


미국, 유럽부터 브라질 등 소재 기업 피해…공격 전략 고도화 '주의'

쏟아지는 정보통신기술(ICT) 현안을 잠시 멈춰 서서 좀 더 깊숙히 들여다봅니다. 'IT돋보기'를 통해 멈춘 걸음만큼 보다 심층적으로 분석하되, 알기 쉽게 풀어쓰겠습니다. [편집자주]

[아이뉴스24 최은정 기자] 랜섬웨어 제작·유포를 서비스 방식으로 제공하는 해커조직인 '다크사이드'가 활개치고 있다.

17일 블룸버그 등 외신과 관련 업계에 따르면 미국, 유럽, 러시아, 남아프리카공화국, 브라질 등 국가의 다수 기업들이 다크사이드의 공격을 받은 것으로 추정된다.

다크사이드가 각종 기업들로부터 탈취한 데이터라고 주장하며 데이터 파일들을 자신들이 운영하는 다크웹 페이지에 업로드했기 때문.

[사진=아이뉴스24]

여기에는 미국 농작물 공급업체 '캐롤라이나 이스턴', 자동차 용접기기 제작사인 '파슬린'부터 브라질 재생에너지 제품 총판사, 영국 스코틀랜드 소재 건설 관련 기업 등까지 다수 업체들이 포함됐다.

지난 14일(현지시간)에는 다크사이드가 일본 전자업체 '도시바'의 유럽 사업부를 공격하고 금전을 요구했다는 CNBC 등의 외신 보도도 이어졌다.

다만 현재 다크사이드는 랜섬웨어 서비스를 종료하고 다크웹 페이지 또한 폐쇄한 상태다. 미국 정부의 제재 등으로 인한 조치라는 게 그들의 입장. 그러나 보안기업 파이어아이는 이를 정부 압박 등으로부터 벗어나기 위한 일종의 전략일 수 있다고 설명했다.

앞서 다크사이드는 지난주 미국의 대규모 송유관 운영기업인 '콜로니얼 파이프라인'을 겨냥한 공격으로 주목 받기 시작했다.

미 동부 연안 지역 석유 운송량의 절반 가량을 담당하고 있는 이 기업은 이번 공격으로 약 5일 동안 시설 가동을 중단해야 했다. 이로 인해 미 남동부 지역에서는 휘발유 부족 사태로 5천만명이 불편을 겪었으며, 결국 회사는 시스템 정상화를 대가로 500만 달러(한화 약 56억5천만원)을 다크사이드에 지불한 것으로 알려졌다.

◆ '서비스형 랜섬웨어(RaaS)'가 뭐길래…다크사이드 공격 전략은

다크사이드는 타깃 맞춤형 악성코드 제작, 랜섬웨어 유포를 위한 인프라 제공 등의 방식으로 악성 행위를 지원하는 RaaS 조직이다. 서비스 수요자(파트너)가 피해 기업을 협박하는 용도로 쓸 다크웹 페이지도 관리해준다. 배후에는 러시아와 연계된 조직이 있을 것으로 추정되고 있다.

만약 다크사이드 파트너가 기업 대상 랜섬웨어 공격을 성공, 금전을 탈취했다면 여기서 얻은 수익은 다크사이드와 공유하는 식이다. 파이어아이에 따르면, 다크사이드가 지난해 11월 낸 광고글에는 50만 달러(약 5억7천만원) 미만은 25%, 500만 달러 이상은 10% 수익을 나눠야 한다는 내용이 담겼다.

특히 최근 다크사이드는 피해 기업으로부터 돈을 보다 쉽게, 더 많이 빼앗기 위해 다양한 전략을 이용하고 있어 주의가 요구된다. 실제로 지난달 말 다크사이드는 나스닥 등의 주식 시장에 상장한 기업들을 주요 타깃으로 삼겠다는 내용을 발표했다. 주가 하락에 민감한 기업들이 데이터 유출 등을 방지하기 위해 금전 협상에 쉽게 임할 것으로 본 것이다.

또 다크사이드는 피해 기업 사내의 정보를 무기 삼아 몸값 협상을 벌이기도 한다. 가령 사이버보안 보험을 가입한 기업의 경우, 다크사이드가 이 내용을 자체 확보해 보상 금액 보다 높은 수준의 금액을 요구하는 등 식이다.

다만 이들은 병원, 학교, 대학, 비영리 단체, 공공기관 등을 대상으로 한 사이버 공격은 금지하는 것을 원칙으로 삼고 있다.

파이어아이 관계자는 "다크사이드는 지난해 8월 처음 발견된 이후, 15개 이상의 국가를 대상으로 랜섬웨어 공격을 감행했으며 공격 건수도 매달 증가하는 추세"라며 "피해 기업을 압박하는 전술이 올해도 계속 진화할 것으로 보이는 만큼 랜섬웨어 감염 예방 등 각별한 주의가 필요하다"고 말했다.

/최은정 기자(ejc@inews24.com)







포토뉴스